基于ATT&CK框架的域威脅檢測

何樹果，袁 瑗，朱 震，盧圣龍，陳嘉磊，畢鑫泰

(1.北京升鑫網絡科技有限公司 青藤云安全人工智能實驗室，北京101111；2.西南大學 計算機與信息科學學院，重慶400715)

0 引言

互聯(lián)網企業(yè)規(guī)模不斷擴張，隨之而來的是計算機數量的逐年增加。微軟為管理員提供了兩種方式管理計算機，即域和工作組。默認情況下，計算機會加入工作組，但是工作組在管理上屬于分散型，很難用于集中管理，更加適用于小型網絡。其中，為提升大型網絡的管理效率以及安全性，微軟提供了域技術來管理大型網絡中的計算機，輔助管理人員對計算機進行集中管理[1]。在域中，使用域控制器(Domain Controller，DC)進行管理，使用服務器為申請連接的計算機進行驗證，DC中存放著域賬戶、密碼以及隸屬于域的計算機信息等。如果某臺計算機想要連接這個域，域控制器會根據賬戶和密碼來判定這臺計算機是否屬于這個域，從一定程度上對網絡安全管理進行了加強。

使用域技術進行管理是目前很多企業(yè)、工廠都會采用的一個常見管理方法。由于DC中涵蓋了域的敏感信息，因此域管理下的網絡安全是需要建立在DC的安全之上的[2]。一旦域管理員的賬號和密碼泄露，黑客便可以利用盜取的高權限賬戶來操縱域環(huán)境，進行信息盜取、投放病毒、留后門維持訪問等操作，因此域滲透已經成為了黑客入侵企業(yè)網絡的主要手段之一。一旦域控服務器被黑客攻陷，可能會導致企業(yè)的敏感信息泄露、工作進度癱瘓、被黑客勒索等后果，會給企業(yè)帶來非常嚴重的損失[3]。保障域安全是域管理的重要環(huán)節(jié)，傳統(tǒng)的防御方式主要是從防御者的角度去提出解決方案，但往往面臨著覆蓋范圍不全面、難以檢測新的未知威脅等問題[4]。

ATT&CK(Adversarial Tactics，Techniques，and Common Knowledge)框架是一個攻擊行為知識庫和威脅建模模型，已發(fā)展至多平臺(Windows、Linux、MacOS等)、多場景(移動端、企業(yè)內網、云、終端等)，是攻擊鏈整個生命周期的行為分析模型[5]?；贏TT&CK框架建立域安全防護系統(tǒng)，從攻擊者角度出發(fā)解決問題，有利于建設更全面、更準確的域安全防護體系，優(yōu)化威脅響應機制。本文基于ATT&CK框架，著重在實戰(zhàn)中模擬現(xiàn)實域環(huán)境可能遭受到的未知威脅，臨摹出“域安全下的ATT&CK框架”，對威脅進行更全面、更準確的檢測，建立完善的域安全管理體系，為企業(yè)網絡安全管理保駕護航。

1 ATT&CK框架簡介及其發(fā)展現(xiàn)狀

1.1 ATT&CK框架簡介

ATT&CK框架由美國MITRE公司于2013年提出，經過多次的版本更迭，現(xiàn)已逐漸發(fā)展成為高細粒度、高準確度的安全知識框架[6]。通過對攻擊方式的平臺、來源、場景等進行類別劃分，整個框架在實戰(zhàn)中具備更全面的效用，逐漸得到安全行業(yè)的廣泛關注。ATT&CK逐漸成為分析網絡中攻擊與威脅的知識標準體系，廣泛應用于內網、終端、移動端等不同領域，并且適用于多類別的平臺(包括Windows、Linux、MacOS等)，有利于輔助建設網絡安全防御體系。

ATT&CK框架分為三個板塊：ATT&CK for Enterprise、ATT&CK for Mobile和ATT&CK for ICS[7]。針 對企業(yè)網絡環(huán)境，ATT&CK for Enterprise提供了企業(yè)網絡中所面臨攻擊方式的知識模型。其圍繞對抗的戰(zhàn)術、技術和常識進行分類，通過矩陣的方式進行呈現(xiàn)。ATT&CK框架將完整的攻擊序列拆分成了不同的“戰(zhàn)術”，其涵蓋了攻擊者在執(zhí)行攻擊操作時的標準，是攻擊者的執(zhí)行目標；在每個“戰(zhàn)術”中，根據攻擊者使用的攻擊方法不同劃分為不同的“技術”，這是實現(xiàn)戰(zhàn)術目標的方式[8]。

1.2 ATT&CK框架發(fā)展現(xiàn)狀

相較于2019年10月發(fā)布V6版本，ATT&CK for Enterprise涉及的“技術”不斷橫向擴充和縱向拓展，覆蓋更加全面；在2020年10月發(fā)布的V8版本中，新增兩種新的“戰(zhàn)術”：偵察和資源開發(fā)。2021年10月，ATT&CK V10版本發(fā)布，更新了適用企業(yè)、移動的 技術、組件、軟件。其中，ATT&CK for Enterprise在當前版本中已涵蓋了14個戰(zhàn)術、188個技術，379個子技術、129個組以及637個軟件。從安全知識體系的搭建看，ATT&CK框架反映出的安全知識模型涵蓋的范圍逐年增加，子技術變化情況如圖1所示。

圖1 ATT&CK框架子技術變化情況

ATT&CK框架將攻擊者在進行序列操作時不同的執(zhí)行目標定義為14個“戰(zhàn)術”：偵察、資源開發(fā)、初始訪問、執(zhí)行、持久化、權限提升、防御逃避、憑證訪問、發(fā)現(xiàn)、橫向移動、收集、命令與控制、數據竊取、影響與破壞[9]。ATT&CK for Enterprise于當前版本所涉及的“戰(zhàn)術”分布圖如圖2所示。

圖2 ATT&CK框架技術分布情況

1.3 域安全和ATT&CK結合的優(yōu)點

ATT&CK框架針對黑客的攻擊方式進行分析整理，有效指導了對抗實戰(zhàn)，讓防御者從攻擊行為的視角來看待攻擊者，并制定防御措施[10]。無論是攻擊者還是防御者都在不斷提升自己的能力，發(fā)展新的技術需要做出相應調整。因此，ATT&CK框架針對新技術也在不斷縱向擴展，每半年左右會更新一次，它更希望防御者能夠有效利用新技術優(yōu)化防御體系。

ATT&CK框架不僅為建立域安全防護體系提供了理論基礎，還成為了攻防雙方都認可的一種通用語言。ATT&CK框架從攻擊者的視角出發(fā)看問題，打破了傳統(tǒng)上只從防御角度建設安全體系的做法，提供更容易共享上下文的行動和潛在對策，能夠簡化情報的創(chuàng)建過程。ATT&CK框架提供了對抗行動和信息之間的關系，防御者可以根據設定的“戰(zhàn)術”去追蹤攻擊者執(zhí)行每項操作的動機。因此，安全人員的工作從尋找未知攻擊，轉變?yōu)榘凑誂TT&CK框架融合防御策略與攻擊者的手冊，預測未知攻擊。同理，如果把ATT&CK框架應用于域安全領域，攻擊者能夠更加容易地找到攻擊域控制器的最佳路線，防御者也能夠根據更多的上下文信息找到攻擊者的攻擊路線。

基于ATT&CK框架進行威脅與攻擊行為研究，有利于將整個攻擊路徑結構化，可用于創(chuàng)建攻防對抗模擬的場景，便于安全團隊研究、開發(fā)更全面的威脅響應機制，達到更準確、更具針對性的檢測。

2 基于ATT&CK框架的域安全研究

基于ATT&CK框架對域滲透的攻擊進行系統(tǒng)性的研究，目的是為了更好地建設域安全防御體系。分別將其中涉及的攻擊技術與ATT&CK中的“技術”或“子技術”進行對應，共涉及42種“技術”或“子技術”，涵蓋了14種“戰(zhàn)術”中的8種“戰(zhàn)術”，分布情況如圖3所示。

圖3 基于ATT&CK框架的域安全“技術”分布情況

3 基于ATT&CK框架的域滲透攻擊行為檢測

通過將ATT&CK框架知識融入到域安全防御中，從攻擊者的角度將其所處的攻擊階段，每個攻擊階段使用的技術，每種技術使用的攻擊姿勢很好地刻畫；從防御者的角度，能夠更加清晰地看到攻擊者攻陷域控制器的上下文信息，更好地對攻擊路線進行溯源分析。

3.1 檢測流程

針對上一節(jié)所提及的戰(zhàn)術和技術進行系統(tǒng)梳理，通常攻擊者在進行域滲透的攻擊行為時，會產生大量的安全日志事件，通過對單個的敏感事件以及連續(xù)的異常事件的分析，最終通過事件種類(大類15種、小類40種)來達到對這些戰(zhàn)術和技術的全覆蓋。域安全防御過程中日志事件涉及情況如圖4所示。

圖4 域安全日志事件涉及情況

結合ATT&CK框架對域滲透攻擊行為進行分析，監(jiān)控異常行為產生的事件，對敏感事件或連續(xù)的異常事件進行捕獲，實現(xiàn)對異常的檢測。整個檢測流程分為4個部分，檢測流程如圖5所示。

圖5 域安全異常檢測流程圖

各部分的功能簡要介紹如下：

(1)數據采集

在域控服務器上安裝Agent，采集相應的日志事件。采集事件即上一部分所講的15大類，40個小類的事件，將相應的日志傳送到Kafka進行存儲。

(2)實時數據流

實時數據流采用Kafka。Kafka是一種高吞吐量的分布式發(fā)布訂閱消息系統(tǒng)，可以快速處理數據流數據，具有高吞吐量、低延遲、可擴展性、持久性、可靠性、容錯性、高并發(fā)等優(yōu)勢，非常適合日志收集的場景，通過Kafka以統(tǒng)一接口服務的方式開放給各種消費者。

(3)實時多維分析引擎

實時多維分析引擎分為規(guī)則引擎和計算引擎兩部分，從多個維度，比如進程、網絡、賬戶等之間的關聯(lián)關系對日志數據進行上下文分析，使告警盡可能精準。其中規(guī)則引擎主要管理針對域控滲透攻擊行為相應的檢測規(guī)則，計算引擎主要消費Kafka里面的日志數據并進行實時分析，同時和規(guī)則引擎里面的規(guī)則進行匹配，達到實時檢測的目的；

(4)實時分析結果

實時分析檢測結果并進行告警。告警情況包括該攻擊行為對應的ATT&CK框架中所采用的技術和/或子技術編號、告警描述、處置建議等，同時也支持根據客戶的實際需求進行定制。

3.2 試驗效果

為了證明有效性，邀請相應的安全研究人員進行了4個批次的公開對抗，其試驗環(huán)境如表1所示。

表1 試驗環(huán)境說明

經過長達4周激烈的對抗，發(fā)現(xiàn)規(guī)則未覆蓋的域攻擊姿勢2種，規(guī)則誤報2處，對抗后對未覆蓋的姿勢和誤報規(guī)則均進行了相應的修復處理。根據統(tǒng)計，安全人員最喜歡用的攻擊姿勢是CVE-2020-1472漏洞，即Zerologon漏洞。該漏洞影響Netlogon遠程協(xié)議所使用的加密身份驗證方案，Netlogon遠程協(xié)議(也稱為MS-NRPC)是一個遠程進程調用(RPC)接口，僅由連接到域的設備使用，它包括身份驗證方法和建立Netlogon安全通道的方法，具有多種用途。其中，最廣為人知的是更改計算機帳戶密碼的能力，這可能導致Windows被攻擊，該漏洞影響重大，風險評分達10.0滿分。

4 結論

本文使用ATT&CK框架提供的知識庫在域滲透檢測上進行了實踐，并且通過實戰(zhàn)對抗驗證了二者結合的有效性和適用性，并取得了良好的檢測結果。該方法為攻擊行為檢測和防御體系建設都提供了更全面、更準確的思路。未來，研究團隊將不斷完善安全機制的建設，幫助客戶解決域環(huán)境安全管理的難題，提升客戶域攻擊方面的檢測能力。